A Nova Fronteira do Crime Cibernético: Salesforce na Mira

Em um movimento que soa como o prólogo de um filme de ficção científica, o FBI disparou um de seus raros alertas FLASH, jogando os holofotes sobre uma ameaça que parece ter saído diretamente de um roteiro de Hollywood. Dois grupos de ciberatacantes, rastreados como UNC6040 e UNC6395, estão transformando a plataforma Salesforce, um pilar do mundo corporativo, em seu playground particular para roubo de dados e extorsão. De acordo com o comunicado do FBI, ambos os grupos foram observados recentemente mirando as plataformas Salesforce de diversas organizações, cada um com seu próprio método de invasão, forçando uma corrida para fortalecer as defesas digitais em todo o mundo.

O Fantasma na Máquina: Como o UNC6040 te Engana

Imagine receber uma ligação do suporte de TI da sua empresa. A voz do outro lado é calma, profissional e quer ajudar a resolver um problema. O que você não sabe é que está falando com um membro do UNC6040. Este grupo, associado aos infames ShinyHunters, dominou a arte da engenharia social. Como detalhado pela Google Threat Intelligence (Mandiant), desde o final de 2024, eles vêm usando ataques de vishing (phishing por voz) para convencer funcionários a conectar aplicativos OAuth maliciosos às contas Salesforce de suas empresas.

Em uma jogada digna de um mestre da espionagem, os criminosos renomearam uma versão do aplicativo Salesforce Data Loader para algo inócuo como “My Ticket Portal”. Uma vez que o funcionário concede a permissão, o aplicativo se torna uma porta dos fundos, permitindo que os hackers extraiam em massa dados corporativos valiosos. O foco principal, segundo relatos dos próprios ShinyHunters ao BleepingComputer, são as tabelas de "Contas" e "Contatos", o coração da base de clientes de qualquer empresa. A lista de vítimas parece um quem é quem do mercado global:

  • Google
  • Adidas
  • Cisco
  • Louis Vuitton
  • Dior
  • Qantas
  • Allianz Life
  • Tiffany & Co.

O ataque não é sobre força bruta; é sobre a exploração da confiança, transformando o elo mais forte de uma empresa — seus colaboradores — em sua maior vulnerabilidade.

A Chave Mestra Digital: A Tática do UNC6395

Se o UNC6040 é o mestre da manipulação, o UNC6395 é o arquiteto silencioso que explora as falhas estruturais do nosso mundo interconectado. Este grupo adotou uma abordagem mais técnica, mas igualmente devastadora. Segundo as investigações, entre 8 e 18 de agosto, eles utilizaram tokens OAuth e de atualização roubados do aplicativo Salesloft Drift para invadir as instâncias Salesforce de inúmeras empresas.

A origem do desastre, conforme apurado pela Mandiant, remonta a março, quando os repositórios GitHub da Salesloft foram comprometidos, permitindo o roubo dos tokens. Com essas "chaves mestras" digitais em mãos, o UNC6395 mirou nas informações de casos de suporte armazenados no Salesforce. O objetivo era garimpar segredos: credenciais, tokens de autenticação, chaves da AWS, senhas e tokens da Snowflake. Cada credencial roubada era uma nova porta para invadir outros ambientes na nuvem, em um efeito cascata de violações. Gigantes da tecnologia como Cloudflare, Zscaler, Palo Alto Networks, Tenable e Proofpoint foram apanhadas nesta teia. Em resposta, a Salesloft e a Salesforce agiram para revogar todos os tokens do Drift, forçando os clientes a se reautenticarem, numa tentativa de fechar a brecha.

O Sindicato do Crime 2.0: Quem são os Vilões?

Por trás dos nomes técnicos UNC6040 e UNC6395, existe uma coligação de velhos conhecidos do submundo digital. O grupo ShinyHunters, junto com outros que se autodenominam "Scattered Lapsus$ Hunters", reivindicou a autoria de ambos os ataques. Eles afirmam ser uma fusão de membros dos notórios grupos Lapsus$, Scattered Spider e dos próprios ShinyHunters. Recentemente, como noticiado pelo The Register, essa aliança anunciou que iria "desaparecer", alegando que seus objetivos foram cumpridos e que agora iriam desfrutar de suas "aposentadorias douradas".

No entanto, especialistas em segurança veem essa declaração com ceticismo, considerando-a uma manobra clássica para despistar as autoridades e ressurgir com novos nomes e táticas. Antes de seu suposto hiato, o grupo ainda afirmou ter obtido acesso ao sistema de verificação de antecedentes E-Check do FBI e ao sistema de Solicitação de Aplicação da Lei do Google, uma despedida que soa mais como uma ameaça do que um adeus.

O Futuro Chegou, e Ele Quer Seus Dados

O alerta do FBI sobre os ataques ao Salesforce é mais do que uma notícia; é um vislumbre do futuro da guerra corporativa. Estamos testemunhando a evolução do ciberataque, onde a força bruta dá lugar à manipulação psicológica e à exploração de ecossistemas de software interligados. Os hackers não estão mais apenas quebrando senhas; eles estão explorando a própria estrutura de confiança (OAuth) que sustenta a nuvem. Este episódio nos ensina que, na era digital, a segurança não é uma fortaleza isolada, mas uma rede complexa de dependências. A invasão não começa na porta da frente, mas através de um parceiro de confiança. O alerta do FBI não é apenas sobre o presente, é uma profecia sobre as batalhas cibernéticas que definirão a próxima década, onde a linha entre um aplicativo útil e uma arma digital está se tornando perigosamente tênue.